邪恶八进制信息安全团队技术讨论组 » 技术讨论{ Technique Discussions } » [讨论]pcanywhere连接后服务器处于锁定状态！ [查看完整版本]

hackest 2007-1-6 23:57

[讨论]pcanywhere连接后服务器处于锁定状态！

议题作者：hackest
信息来源：邪恶八进制信息安全团队（[url]www.eviloctal.com[/url]）


在得到了pcanywhere的连接密码连接之后
发现目标服务器处于锁定状态
发送Crtl+Alt+Del之后要求管理员解除登录
就是要管理员登录密码！可是并没权限加系统管理员
又或者是得到管理员密码的情况下拿不到系统权限！
尝试pcanywhere的密码发现不对！
利用pcanywhere的其他功能：如传文件、发送命令等操作也要通过验证！
用pcanywhere重启服务器后再连接上去还是处于锁定状态！
不知道以pcanywhere方面还能有什么突破呢？
连接上了也等于没有用啊……没有管理员用户名和密码之类的信息的话！
讨论下如何做到能连接上pnanywhere就有系统权限的方法……
大家请发表意见……  [s:35]

hack520 2007-1-7 00:01

简单，需要DDOS软件一个 带宽够的肉鸡一台，然后先在WEBSHELL net user administrator
看他一般上服务器的时间是多少，然后呢你在那个时间等他，你先连上PCANYWHERE，要是上面有人的话，会提示XXX，恩现在你就可以开工了，netstat -an | find "5631" 查管理员的IP是多少，然后拿起DDOS软件一D，好，他掉线了，同时他的PCANYWHERE也处于断开状态，你现在直接连上他的PCANY，嘿嘿，没锁定的吧？因为锁定是要下机前做的，他没下机锁干J8？

hackest 2007-1-7 00:05

猪三哥真是个大好人啊……
不过，在webshell上执行不了netstat命令
上传cmd.exe也是只能执行ver这些简单的命令哦
得不到管理员IP了……
还有就是要DDOS管理员不太好吧……
而且时机要很准……
有没有其他的办法呀？ [s:35]

神無月 2007-1-7 07:49

我曾經被20台机D掉线了。 猪三的方法应该是很不错的。 呵呵。  下次使用.!

hackest 2007-1-7 09:43

D掉管理员是没有问题
不过怎么样得到他的IP呢？

fhod 2007-1-7 12:41

netstat -an | find "5631" 查管理员的IP是多少

猪三已经说了..
在webshell里没执行权限先反弹回一个在CMD下执行netstat试下.

hackest 2007-1-7 21:24

完了，反弹不出来呀！还有别的办法么？

hack520 2007-1-7 21:32

靠的，WEBSHELL不可以执行命令么？WEBSHELL能直接命令你还弹个鬼？

hackest 2007-1-7 21:57

不能执行netstat命令呀
ver命令可以
net 命令也不可以
能执行就好……也弹不回来…… [s:43]

hack520 2007-1-7 22:01

[s:67] 有这么晕猪么？2003啊？

hackest 2007-1-7 22:24

是2003系统的！ [s:40]

hack520 2007-1-8 05:37

直接上传个CMD上去调用下咯~~~~这不就可以执行命令了么

dingking 2007-1-8 05:50

昨天晚上遇到一模一样的情况。。。

我们搞的不会是同一个服务器吧.....

[s:39]

旋风 2007-1-8 09:47

传个ＮＥＴ上去再执行可以吗，ＤＤＯＳ也是好办法

hackloves 2007-1-8 12:53

在他的常用软件捆绑一个加用户的批处理,重新启动就行了..

remax 2007-1-8 17:36

组件删掉了？
尝试传说中的cfg文件替换法。
[03默认没有写权限？？不记得了。]

hackest 2007-1-8 23:07

貌似大家没看清是什么问题
还是我自己说得不够明白……
第一、已有pcanywhere连接密码，并且能够正常连接上
第二、解决服务器处于锁定状态的问题
第三、系统为win2003
第四、在webshell上无法执行命令
第五、上传本地cmd.exe后能执行ver命令，netstat、net等命令无法执行！

shunyuncc 2007-1-9 02:48

第五、上传本地cmd.exe后能执行ver命令，netstat、net等命令无法执行！

ver 是内部命令.
netstat
net  是外部命令..
要使用就要上传 net.exe  netstat.exe

hackest 2007-1-9 03:39

OK，上传netstat.exe后执行
netstat -an | find "5631"
有显示了，不过没找到管理员的IP
接下来就是等管理员连接pcanywhere了~！
嘿嘿，谢谢大家的帮助…… [s:46]

hackest 2007-1-9 03:41

对了，不知道还有没更好的办法呢？
继续讨论哦…… [s:39]

真如烟 2007-1-9 21:45

貌似咱俩的情况一样
不过我遇到的是2000系统

oics 2007-1-29 17:46

WEBSHELL里看有没有能改的服务，能改的话做一同名的EXE文件（用于添加用户）替换原文件，然后重启目标机器，你就能用新加的用户登录了，玩够后再将注册表中改一个位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon DefaultUserName里的上次登录用户名改成原来的那个，重启 这样就不会被发现了

黄少 2007-10-23 13:57

webshell下
有netstat -an的权限。
但是没有加find参数的权限。

jjzj8 2007-10-25 10:24

自己在wscript.shell上传CMD下面 md c:\QQ77424251.txt
这个文件夹等于授予了可写权限。

因为C盘根目录是没有权限的。你可以直接跳到c:\qq77424251.txt这个文件夹。这个自己建的文件夹完全有权限的。
然后建立一个自动播放， 目标为可以下标指定文件的VBS脚本。等管理员哪天在服务器打开C盘。就种了你的后门。后门放什么。你自个的心情。



----------------可以结贴了。
    我就是水晶。VC

我爱一条柴 2007-10-25 11:02

关机关机，我就不信他不开，管理员总得去看看吧。嘿嘿，赶紧吧。PS：上次我那个就是这样解决的

jyca 2007-10-29 07:42

其实象这样的情况除了等以外还真的没有什么好办法，可考虑下用社工，让管理员登陆系统

laowan 2008-2-2 09:19

[quote]引用第24楼我爱一条柴于2007-10-25 11:02发表的 :
关机关机，我就不信他不开，管理员总得去看看吧。嘿嘿，赶紧吧。PS：上次我那个就是这样解决的[/quote]


敢问
管理登录检查完毕后退出
不锁定的么？？？

xbl1129 2008-2-3 19:57

我也遇到一台这样锁定的03主机
真郁闷 亏我守了半天

maxil 2008-2-7 00:00

我也遇到了同样的问题，朋友帮我搞定了，解决方法如下
1.服务器装有瑞星，将瑞星其中一个服务替换成psshare
2.通过pcanywhere重启服务器。
3.得到主机权限
有一定局限性~呵呵

zczpc2000 2008-2-16 11:30

.....那也要瑞星有权限给你替换才行.....哪有那木好的运气..

查看完整版本: [讨论]pcanywhere连接后服务器处于锁定状态！

© 1999-2008 EvilOctal Security Team